Segurança no WordPress, você sabe se proteger?
Aproximadamente 97% dos blogs em WordPress sofrem ataques por possuírem componentes desatualizados.
Voltando neste tópico, hoje vamos falar sobre Segurança no WordPress. dando continuidade nas dicas do nosso post anterior, onde abordamos algumas otimizações que poderiam ser realizadas para que a plataforma fosse mais efetiva. Caso não tenha visto nossa publicação sobre Otimização do WordPress, clique aqui.
Segurança no WordPress é um tema bem importante de se abordar, pois não apenas a otimização da plataforma se faz necessária constantemente, como também a necessidade de manter as informações da plataforma bem protegida contra terceiros maliciosos é fundamental.
Para isso, vamos dar algumas dicas um pouco técnicas em alguns pontos, para que você mantenha o seu WordPress, ou o de seu cliente, nas melhores condições.
Atualização e Backup
Sim, vamos citar esse ponto novamente. Por que? Porque ele é de suma importância, sempre!
Antes de qualquer procedimento de alteração na sua plataforma, lembre-se sempre de realizar o backup para que, caso as alterações gerem algum dano ao Banco de Dados ou ao próprio site, você tenha um ponto seguro para onde retornar. Já citamos no post anterior sobre o WP-DB-Backup, vale a pena.
Quanto as atualizações de plugins, temas e outros, recomendamos que aguarde em torno de 2 ou 3 dias para que você atualize, pois atualiza-lo de imediato, pode causar alguma incompatibilidade ou até mesmo abrir brecha para alguém tentar explorar algum erro da atualização, por este motivo, mantenha atualizado, sempre, mas com um intervalo do lançamento, por segurança.
Remover informação de versão do Word Press
Um ponto importante que podemos citar é que ocultar algumas informações podem auxiliar na segurança da sua plataforma. Especificando um caso, seria a remoção da versão do WordPress da documentação, assim, tornando a plataforma menos propensa à situações de ataque.
Você pode realizar a alteração abrindo o arquivo functions.php e adicionar a informação abaixo:
function wpbeginner_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wpbeginner_remove_version’);
Impedir acessos BruteForce
De novo abordaremos esse ponto, porém com outras soluções, para melhorar a segurança no WordPress de maneiras mais efetivas, não recomendamos um plugin em específico e sim listaremos alguns que cumprem com a segurança da sua plataforma, dentre eles os plugins Login Lockdown, BruteForce Login Protection, Anti Malware Protection and BruteForce Firewall. Aconselhamos sempre realizar um Backup antes de realizar qualquer alteração na plataforma. Estes plugins possuem diversas configurações, porém atendem o nosso foco de se tornar parte da segurança que você customizará na sua plataforma.
Alterar a pesquisa da sua plataforma
Para evitar a vulnerabilidade, aconselhamos que altere a maneira como os buscadores acessam as informações da sua plataforma, então para manter a segurança no WordPress de maneira eficiente, recomendamos o seguinte:
Remova : <?php echo $_SERVER [‘PHP_SELF’]; ?>)
Adicione: <?php bloginfo (‘home’); ?>
Bloqueie o Code Injection
Evitar a injeção de códigos de terceiros no seu PHP é fundamental para manter tanto a plataforma quanto seu banco de dados íntegro, para que não tentem alterar ao PHP GLOBAL ou _REQUEST, faça a seguinte alteração no arquivo htaccess, dentro do wp-content:
Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING}
(\|%3E) [NC,OR] RewriteCond %{QUERY_STRING}
GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING}
_REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]
Bloqueando Bots e Spam
Particularmente uma das coisas que mais incomoda, possivelmente a qualquer um, indiferente de usuário ou administrador, são Bots e Spams. Aquele link malicioso nos comentários, aquele site indexador do outro lado do mundo que fica utilizando os robôs para indexar e ao mesmo tempo pesar seu site, pois bem, para resolver este tipo de situação, temos algumas soluções.
Aos Spams, recomendamos o plugin Akismet e o Plugin Captcha, isso será o suficiente para conter os spams, se não boa parte deles.
Já quanto aos Robôs (Crawlers/Spiders) que podem vir a incomodar seguem alguns comandos úteis para tal:
User-agent: *
Disallow: /
Vale lembrar que no *, você cadastrará o motor de busca, e no disallow, qual será o diretório, sendo como padrão o / para todo o diretório do site, mas caso queira proteger ou reforçar diretórios específicos, o comando será:
Disallow: /cgi-bin/
Disallow: /private/
Disallow: /tmp/
Disallow: /store.htm
Sendo o último caso, para arquivos.
Ficamos por aqui e esperamos que as dicas sejam úteis, qualquer dúvida, deixe nos comentários!
Até!
